4.2.3.1. Hiện tượng tắc nghẽn
Trong mạng mỏy tớnh, tắc nghẽn xảy ra khi số lượng gúi số liệu đến nỳt mạng vượt quỏ khả năng xử lý của nú hoặc vượt quỏ khả năng vận tải của cỏc đường truyền ra, điều đú dẫn đến việc thụng lượng của mạng bị giảm đi khi lưu lượng đến mạng tăng lờn. Hiện tượng tắc nghẽn cú thể xảy ra ở một hoặc một số nỳt mạng, hay trờn toàn mạng và được miờu tả trờn hỡnh 4.3.
Khi số lượng gúi số liệu đến mạng cũn tương đối nhỏ, nằm trong khả năng vận tải của nú, chỳng sẽ được phõn phỏt đi hết, số lượng gúi số liệu được chuyển đi tỉ lệ thuận với số lượng gúi số liệu đến mạng. Do luụn cú một tỉ lệ gúi số liệu phải phỏt lại do bị lỗi trong quỏ trỡnh vận chuyển, lưu lượng mà mạng thực sự phải vận chuyển nhỡn chung lớn hơn lưu lượng đi qua mạng (thụng lượng).
Hỡnh 4.2. Điều khiển lưu lượng bằng cửa sổ trượt, biờn nhận ở cuối cửa sổ. Kớch thước cửa sổ nhận và gửi ban đầu bằng 3.
Khi lưu lượng đến cao quỏ một mức nào đú, cỏc nỳt mạng khụng cũn đủ khả năng chứa và chuyển tiếp cỏc gúi số liệu, do đú cỏc nỳt mạng bắt đầu phải loại bỏ cỏc gúi số liệu. Bờn gửi sẽ phỏt lại cỏc gúi số liệu khụng được biờn nhận sau một khoảng thời gian nhất định, gọi là thời gian hết giờ. Nếu lưu lượng đến mạng tiếp tục tăng lờn nữa, tỉ lệ gúi số liệu phỏt lại trờn tổng số gúi số liệu trong mạng cú thể tăng đến 100%, nghĩa là khụng cú gúi số liệu nào được phõn phỏt đi cả, thụng lượng của mạng giảm xuống bằng khụng, mạng bị nghẹt hoàn toàn.
Một số yếu tố cú thể dẫn đến tắc nghẽn, ngay cả khi lưu lượng đi vào mạng thấp hơn khả năng vận tải của mạng. Chẳng hạn, khi số lượng gúi số liệu đến trờn hai hoặc ba lối vào của một nỳt mạng đều cần đi ra trờn cựng một đường truyền đểđến đớch, chỳng sẽ phải xếp hàng đợi được truyền đi. Nếu tỡnh trạng trờn kộo dài, hàng đợi sẽ dài dần ra và đầy, khụng cũn chỗ cho cỏc gúi số liệu mới đến, chỳng bị loại bỏ và sẽđược phỏt lại, làm tăng tỉ lệ gúi số liệu phỏt lại trong mạng. Biện phỏp khắc phục bằng cỏch tăng kớch thước hàng đợi (bộ nhớ) tại cỏc nỳt mạng trong một chừng mực nào đú là cú ớch, tuy nhiờn, người ta đó chứng minh được rằng, tăng kớch thước hàng đợi quỏ một giới hạn nào đú sẽ khụng mang lại lợi ớch gỡ, thậm chớ cũn cú thể làm cho vấn đề tắc nghẽn tồi tệ hơn. Đú là vỡ cỏc gúi số liệu sẽ bị hết giờ ngay trong quỏ trỡnh xếp hàng, bản sao của chỳng đó được bờn gửi phỏt lại rồi, làm tăng số lượng gúi số liệu phỏt lại trong mạng.
Tốc độ xử lý chậm của cỏc nỳt mạng cũng là một nguyờn nhõn quan trọng gõy nờn tắc nghẽn, bởi vỡ chỳng cú thể sẽ làm hàng đợi bị tràn ngay cả khi lưu lượng gúi số liệu đến nỳt mạng nhỏ hơn năng lực vận tải của đường truyền đi ra. Cỏc đường truyền dung lượng thấp cũng cú thể gõy ra tắc nghẽn. Việc tăng dung lượng đường truyền nhưng khụng nõng cấp bộ xử lý tại nỳt mạng, hoặc chỉ nõng cấp từng phần của mạng đụi khi cũng cải thiện được tỡnh hỡnh đụi chỳt, nhưng thường chỉ làm cỏi “cổ chai”, nơi xảy ra tắc nghẽn, dời đi chỗ khỏc mà thụi. Giải quyết vấn đề tắc nghẽn núi chung, cần đến cỏc giải phỏp đồng bộ.
Tắc nghẽn cú khuynh hướng tự làm cho nú trầm trọng thờm. Nếu một nỳt mạng nào đú bị tràn bộ đệm, gúi số liệu đến sẽ bị loại bỏ, trong khi đú nỳt mạng bờn trờn, phớa người gửi, vẫn phải giữ bản sao của gúi số liệu đó gửi trong hàng đợi, cho đến khi hết giờ để phỏt lại. Việc phải giữ bản sao gúi số liệu trong hàng đợi để chờ biờn nhận, cộng thờm việc cú thể phải phỏt lại gúi số liệu một số lần cú thể làm cho hàng đợi tại chớnh nỳt trờn cũng cú thể bị tràn. Sự tắc nghẽn lan truyền ngược trở lại phớa nguồn phỏt sinh ra gúi số liệu.
4.2.3.2. Cỏc giải phỏp điều khiển tắc nghẽn
Vấn đề điều khiển tắc nghẽn cú thể được giải quyết theo quan điểm của Lý thuyết điều khiển. Theo cỏch tiếp cận này, cú thể chia cỏc giải phỏp thành hai nhúm: cỏc giải phỏp Vũng lặp mở (Open loop) và cỏc giải phỏp Vũng lặp đúng (Closed loop). Theo cỏc giải phỏp vũng lặp mở, tắc nghẽn sẽ được giải quyết bằng việc thiết kế tốt, đảm bảo sao cho tắc nghẽn khụng xảy ra. Một hệ thống như vậy phải cú khả năng quyết định khi nào thỡ nhận thờm cỏc lưu lượng mới vào, khi nào thỡ loại bỏ cỏc gúi số liệu và loại cỏc gúi số liệu nào. Cỏc quyết định này phải theo lịch trỡnh và phải cú ở từng nỳt mạng, chỳng được hệ thống đưa ra mà khụng xem xột đến trạng thỏi hiện thời của mạng.
Trỏi lại, cỏc giải phỏp vũng lặp đúng lại dựa trờn khỏi niệm về vũng phản hồi (feedback loop), chỳng gồm cú ba phần, hay ba bước như sau:
Bước một: theo dừi hệ thống để phỏt hiện tắc nghẽn xảy ra khi nào và ởđõu.
Việc phỏt hiện tắc nghẽn cú thể dựa trờn một sốđộ đo khỏc nhau. Cỏc độđo thường được sử dụng là tỉ lệ gúi số liệu bị loại bỏ do thiếu bộđệm, chiều dài trung bỡnh của hàng đợi, số gúi số liệu phải phỏt lại do bị hết giờ, thời gian trễ trung bỡnh của gúi số liệu khi đi qua mạng v.v. Sự tăng lờn của cỏc số đo này núi lờn rằng tắc nghẽn đang tăng lờn trong mạng.
Bước hai: nơi phỏt hiện ra tắc nghẽn cần phải chuyển thụng tin về sự tắc nghẽn đến những nơi cú thể phản ứng lại. Một cỏch thực hiện rất đơn giản là nỳt mạng phỏt hiện ra tắc nghẽn sẽ gửi gúi số liệu đến cỏc nguồn sinh lưu lượng trờn mạng, bỏo tin về sự cố. Tất nhiờn, việc này sẽ làm tăng thờm lưu lượng đưa vào mạng đỳng lỳc lẽ ra phải giảm đi. Người ta cũng đó đề xuất và thực hiện một số cỏch khỏc nữa. Chẳng hạn, nỳt mạng phỏt hiện ra tắc nghẽn sẽ đỏnh dấu vào một bit hay một trường định trước của mọi gúi số liệu trước khi gúi số liệu được nỳt mạng chuyển tiếp đi, nhằm loan bỏo cho cỏc nỳt mạng khỏc về trạng thỏi tắc nghẽn. Cú thể nờu ra một cỏch thực hiện khỏc nữa, đú là làm cho cỏc nỳt mạng đều đặn gửi đi cỏc gúi số liệu thăm dũ để biết tỡnh trạng của mạng.
Bước ba: điều chỉnh lại hệ thống để sửa chữa sự cố. Cỏc cơ chế thực hiện phản hồi đều nhằm mục đớch là để cỏc mỏy tớnh trờn mạng cú những phản ứng phự hợp nhằm làm giảm tắc nghẽn. Nếu phản ứng xảy ra quỏ nhanh, lưu lượng trong hệ thống sẽ thăng giỏng mạnh và khụng bao giờ hội tụ. Nếu phản ứng quỏ chậm, việc điều khiển tắc nghẽn cú thể khụng cú ý nghĩa thực tế gỡ nữa. Chớnh vỡ vậy, để cơ chế phản hồi cú hiệu quả, cần phải sử dụng một số cỏch tớnh trung bỡnh.
Cỏc thuật toỏn điều khiển tắc nghẽn sẽ được trỡnh bày cụ thể trong chương 5, phần giao thức TCP.
4.3. AN TOÀN THễNG TIN TRấN MẠNG 4.3.1. Giới thiệu
Đặc điểm của mụi trường mạng là nhiều người sử dụng và phõn tỏn về địa lý. Số lượng users tăng lờn dẫn tới mức độ quan trọng của thụng tin ngày càng lớn như thụng tin về tài chớnh, ngõn hàng, chứng khoỏn, chớnh phủ,..liờn quan đến an ninh quốc gia, lợi ớch quốc tế, cỏc cơ quan doanh nghiệp lớn. Cỏc thụng tin này được trao đổi từng giờ từng phỳt trờn mạng, do vậy phải cú cỏc biện phỏp bảo đảm an toàn thụng tin trờn mạng.
Nhúm người xõm hại mạng gồm nhiều loại với hành vi ngày một tinh vi hơn, cỏc đối tượng đú gồm: sinh viờn, doanh nhõn, người mụi giới chứng khoỏn, hacker, khủng bố,..
Mục đớch của mỗi đối tượng:
- Sinh viờn: tũ mũ, nghịch ngợm, muốn chứng tỏ khả năng.
- Doanh nhõn: thăm dũ chiến lược kinh doanh của đối thủ cạnh tranh để phỏ hoại đối phương.
- Người mụi giới chứng khoỏn: tỏc động tõm lý người chơi chứng khoỏn, thuyết phục người chơi mua/bỏn cổ phiếu, làm đảo lộn thị trường.
- Hacker: tấn cụng vào lỗ hổng phần mềm để ăn cắp bản quyền hoặc phỏ huỷ hệ thống
- Khủng bố: tổ chức cỏc vụ khủng bố nhằm mục đớch kinh tế, chớnh trị,..
Để bảo vệ thụng tin đạt hiệu quả cao chỳng ta cần phải lường trước được tốt cỏc khả năng xõm phạm, cỏc sự cố rủi ro đối với cỏc thiết bị và dữ liệu trờn mạng. Xỏc định càng chớnh xỏc cỏc nguy cơ thỡ việc tỡm ra cỏc giải phỏp sẽ chớnh xỏc và giảm thiểu cỏc thiệt hại. ATTT trờn mạng đề cập đến những biện phỏp bảo vệ thụng tin trỏnh khỏi những xõm phạm trỏi phộp.
Cỏc loại vi phạm cú thể được chia làm hai loại: vi phạm chủ động và vi phạm thụ động. Chủ động và thụ động ở đõy được hiểu theo nghĩa cú can thiệp vào nội dung và luồng thụng tin trao đổi hay khụng? Vi phạm thụ động chỉ nhằm mục tiờu cuối cựng là nắm bắt thụng tin, cú thể khụng biết được nội dung, nhưng vẫn cú thể dũ ra được thụng tin về người gửi, người nhận nhờ vào thụng thụng tin điều khiển nằm trong header của gúi tin. Hơn nữa, kẻ phỏ hoại cũn cú thể kiểm tra được số lượng, độ dài, lưu lượng, tần suất trao đổi dữ liệu trao đổi. Túm lại, vi phạm loại này khụng làm sai lệch hoặc hủy hoại thụng tin. Trong khi đú, cỏc vi phạm chủ động cú thể làm biến đổi, xúa bỏ, làm trễ, sắp xếp lại thứ tự, hoặc chốn vào một số cỏc thụng tin ngoại lai vào để làm sai lệch thụng tin gốc. Một hỡnh thức vi phạm chủ động nữa là cú thể làm vụ hiệu cỏc chức năng phục vụ người dựng tạm thời hoặc lõu dài.
Vi phạm thụ động thường khú phỏt hiện nhưng dễ ngăn chặn, ngược lại, vi phạm chủđộng dễ phỏt hiện nhưng rất khú ngăn chặn.
Kẻ phỏ hoại cú thể xõm nhập ở bất cứđõu cú thụng tin mà họ quan tõm. Cú thể là ở trờn đường truyền, cỏc mỏy chủ nhiều người dựng, cỏc mỏy trạm, hay ở cỏc thiết bị kết nối (bridge, router, gateway,..), cỏc thiết bị ngoại vi, bàn phớm, màn hỡnh chớnh là những cửa ngừ thuật lợi cho cỏc loại xõm nhập trỏi phộp.
4.3.2. Cỏc lớp bảo mật trong mạng
Cỏc hệ thống an ninh mạng thường bao gồm nhiều lớp để chống lại cỏc kiểu xõp phạm khỏc nhau. Sơđồ cỏc lớp bảo mật thụng dụng hiện nay được trỡnh bày dưới đõy:
• Lớp Quyền truy nhập: Lớp bảo vệ trong cựng nhằm kiểm tra, giới hạn quyền truy cập của cỏc đối tượng sử dụng tài nguyờn mạng. Quyền truy cập quy định người sử dụng cú thể truy cập vào tài nguyờn gỡ và được phộp thực hiện những thao tỏc gỡ trờn đú.
• Lớp Đăng nhập: yờu cầu mỗi cỏ nhõn khi bước vào mạng phải xuất trỡnh Tờn (User name) và Mật khẩu (Password). Đõy là một cơ chộ đơn giản, ớt tốn kộm nhưng rất hiệu quả, gúp phần hạn chế ngay từ ngoài những truy xuất trỏi phộp. Mỗi người sử dụng hợp lệđều phải cú tờn và mật khẩu, dựa vào đú hệ thống nhận biết được anh ta cú thểđược sử dụng tài nguyờn nào và thao tỏc gỡ trờn những tài nguyờn đú.
• Cỏc phương phỏp mó hoỏ chủ yếu dành cho những thụng tin truyền trờn mạng để trỏnh bị nghe trộm, nhưng chỳng cũng được ỏp dụng cho việc bảo mật tại chỗ. Dữ liệu
được biến đổi từ dạng tự nhiờn sang dạng mó hoỏ để gửi đi, cũn tại bờn nhận lại diễn ra quỏ trỡnh ngược lại – giải mó. Chỳng ta sẽ xem xột kỹ vấn đề này trong mục sau.
• Tường lửa: để bảo vệ mạng nội bộ, thụng thường hiện nay cỏc hệ thống mạng thường sử dụng cỏc phần mềm FireWall (tường lửa). Chức năng của Tường lửa là ngăn chặn những truy nhập trỏi phộp từ mụi trường mạng bờn ngoài vào hệ thống mạng nội bộ, lọc bỏ những gúi tin mà ta khụng muốn gửi đi hoặc nhận vào, cấm những truy nhập trỏi phộp theo một danh sỏch được quy định trước. Một số phần mềm Tường lửa cú thể thấy như Tớch hợp ngay trong Windows (Windows Firewall), Tớch hợp trong cỏc phần mềm diệt virut, Phần mềm ISA Server 2004... Phương thức này được sử dụng rộng rói trong mụi trường liờn mạng Internet.
• Lớp bảo vệ vật lý nhằm ngăn chặn những thao tỏc sử dụng trỏi phộp trờn hệ thống. Đú là cỏc biện phỏp như: kiểm soỏt người ra vào phũng điều hành trung tõm, lắp ổ khoỏ trờn mỏy tớnh, sử dụng cỏc mỏy trạm khụng cú ổđĩa để trỏnh sao chộp thụng tin, lắp đặt cỏc thiết bị nhận dạng (võn tay, mặt người, video) để kiểm soỏt ra vào...
4.3.3. Bảo vệ dữ liệu bằng mật mó
Cú hai cỏch tiếp cận để bảo vệ thụng tin bằng mật mó: đso là theo đường truyền
(link-oriented security) và từ nỳt-đến-nỳt (end-to-end).
Theo cỏch thứ nhất, việc mó húa chỉ thực hiện đối với thụng tin trờn đường truyền mà khụng quan tõm đến nguồn và đớch của thụng tin đú (hỡnh 4.5 a). Ưu điểm: cú thể bớ mật được luồng thụng tin giữa nguồn và đớch và cú thể ngăn chặn được toàn bộ cỏc vi phạm nhằm phõn tịch lưu thụng trờn mạng. Nhược điểm của nú là đũi hỏi cỏc nỳt phải được bảo vệ tốt.
Theo cỏch thứ hai, thụng tin được mó húa trờn toàn bộ đường đi từ nguồn đến đớch (hỡnh 4.5 b). Thụng tin được mó húa ngay khi được tạo ra và chỉ được giải mó ở trạm đớch. Ưu điểm chớnh là: người dựng cú thể sử dụng nú mà khụng cần quan tõm đến người
Đăng nhập Mó hoỏ dữ liệu Tường lửa Bảo vệ vật lý Quyền truy nhập Thụng tin Xõm nhập Hỡnh 4.4. Cỏc lớp bảo mật dữ liệu trong mạng
dựng khỏc. Nhược điểm: chỉ cú dữ liệu người dựng được mó húa, cũn cỏc thụng tin điều khiển thỡ phải được giữ nguyờn để cú thể xử lý tại cỏc nỳt trờn đường đi.
4.3.3.1. Quy trỡnh mật mó
Trong đú:
- Văn bản gốc: là văn bản chưa được mó húa
- Khúa: gồm một xõu hữu hạn cỏc bit thường được biểu diễn dưới dạng cỏc xõu ký tự Mó húa Vmăận bt móản Giải mó Khúa KE Quản lý khúa Khúa KD Văn bản gốc Văn bản gốc Hỡnh 4.6. Sơđồ mật mó dữ liệu Thụng tin gốc Ek Thụng tin nhận Dn Mạng Mó hoỏ với khoỏ K Hỡnh 4.5 b) Tiếp cận nỳt tới nỳt (End - to - End) Nỳt nguồn Thụng tin gốc E1 Nỳt đớch Thụng tin nhận D1 E2
Hỡnh 4. 5 a) Tiếp cận theo đường truyền (Link Oriented)
DN Mó hoỏ với khoỏ 1 Mó hoỏ với khoỏ N
Gọi M là văn bản gốc, C là văn bản mật mó, E là hàm mỏ húa, D là hàm giải mó ta cú: C = EKE(M) (đ/v mó húa) M = DKD(C) = DKD(EKE(M)) (đ/v giải mó).
Khúa KEđược dựng đờ mó húa, khúa KDđược dựng để giải mó.
Cú hai phương phỏp mó húa (phõn loại theo cỏch thức dựng khúa): phương phỏp cổ điển (hay khúa đối xứng, hay một khúa): sử dụng một khúa duy nhất cho việc mó húa và giải mó. Do đú, khúa phải được giữ bớ mật.
Phương phỏp thứ hai là sử dụng khúa cụng khai. Trong đú hệ thống sử dụng hai khúa, một để mó húa và một để giải mó. Khúa mó húa cú thể cụng khai, cũn khúa giải mó phải giữ bớ mật.
Dưới đõy chỳng ta sẽ xem xột 4 phương phỏp mật mó chủ yếu, đú là: - Phương phỏp đổi chỗ (Transportation Ciphers)
- Phương phỏp thay thế (Subsstitution Ciphers) - Phương phỏp sử dụng chuẩn mật mó (DES)
- Phương phỏp sử dụng khúa cụng khai (Public key)
4.3.3.2. Phương phỏp đổi chỗ
Phương phỏp sắp xếp lại cỏc ký tự trong văn bản gốc để được văn bản mật mó. Cỏc kỹ thuật dựng trong phương phỏp này gồm:
y Đảo ngược toàn bộ văn bản gốc: văn bản gốc được viết heo thức tự ngược lại để tạo ra văn bản mật mó. Đơn giản và khụng an tũn.
y Mó húa theo dạng hỡnh học: Văn bản gốc được sắp xếp theo một dạng hỡnh học nào đú, thường là một ma trận 2 chiều: